Re: Debian fent de router...
Diria que aquest comportament té relació amb la taula
"filter" (concretament amb la cadena FORWARD) i no amb
la "nat".
Sospito que permets tot el tràfic a través de la
máquina (i tens el forwarding activat).
Per anar bé, l'script d'inici del firewall hauria de
començar denegant tot el tràfic que no estigui
explícitament permès:
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
I després poses les regles necessàries per permetre el
tràfic que necessites que passi en cada cas i per cada
cadena.
En el teu cas, em sembla que això és el que
necessites:
$IPTABLES -A FORWARD -i $INTERFICIE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -m state --state
ESTABLISHED,RELATED -j ACCEPT
Aquestes regles permeten el pas de tràfic desde la
xarxa interna cap a l'externa i de tots aquells
paquets que pertanyin a una connexió ja establerta (o
relativa a una altra).
Salut.
--- Jaume Soler i Mir <jsoler@hacktivisme.org> wrote:
> A veure tinc un petit problema.
> Estic muntant un ordinador amb dues targetes de
> xarxa pq em faci de router.
> En una banda hi tinc la meva xarxa 192.168.0.0/24
> (la xarxa de casa a
> protegir) i a l'altre 10.34.121.0/24 (la xarxa
> d'olotwireless)
> En fi que ja tinc activat al kernel la opció
> necessària i activada a
> /etc/sysctl.con el net.ipv4.ip-forward = 1, etc...
>
> Fins aquí bé. Poso a "enrutar" amb
> iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
>
> però tinc un petit problema, des de la xarxa
> 10.34.121.0 si fico com a
> gateway la ip de la tarja de xarxa puc veure tots
> els pcs de la xarxa
> 192...!
> I per altre banda tambè ho fa (que és normal).
> Com ho he de fer perquè no es pugui passar cap a la
> xarxa 192.168.0.0
> des de 10.34.121.0???
>
> Gràcies!
>
>
> --
> To UNSUBSCRIBE, email to
> debian-user-catalan-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>
>
__________________________________
Do you Yahoo!?
All your favorites on one personal page ? Try My Yahoo!
http://my.yahoo.com
Reply to: